三星鍵盤漏洞仍未修復(fù) 6億手機身處險境

發(fā)布: 2015-06-17 13:16 | 作者: MSCBSC | 來源: 網(wǎng)易科技 | 字體:       

    6月17日消息,最近發(fā)現(xiàn)的一個嚴(yán)重的安卓默認(rèn)鍵盤漏洞可能會影響手機的整體安全,6億部三星手機都會受到影響。

    該漏洞由移動安全公司NowSecure的Ryan Welton發(fā)現(xiàn),它實際上非常明顯:三星手機上默認(rèn)安裝的SwiftKey鍵盤應(yīng)用會掃描語言更新包,包括未經(jīng)加密的文件,這就給了Welton一個建立欺騙代理服務(wù)器并把惡意代碼傳入手機。在手機中有了后門之后,他就可以通過很多手段擴大自己的權(quán)限并最終在用戶毫不知情的情況下控制手機。

    在較壞的情境下,黑客獲得用戶手機管理員權(quán)限后可以把手機內(nèi)的聯(lián)系人資料、短信內(nèi)容、銀行賬號等等一系列私人信息傳出手機。也可以用作遠(yuǎn)程監(jiān)控用戶的一種途徑。

    在2014年11月份三星就收到了關(guān)于此漏洞的警告,當(dāng)時三星表示正在開發(fā)補丁并在今年3月為安卓4.2及以上系統(tǒng)更新了補丁。但NowSecure認(rèn)為現(xiàn)在的手機仍然有漏洞。Welton在倫敦黑帽子安全峰會上現(xiàn)場對一部使用Verizon網(wǎng)絡(luò)的三星Galaxy S6手機進行了測試,并宣布以同樣的方法取得了成功。一名NowSecure發(fā)言人表示:“我們已經(jīng)確認(rèn)了Galaxy S6手機在Verizon和Sprint網(wǎng)絡(luò)下仍然沒有修復(fù)這個問題,他還說道三星的主要產(chǎn)品線包括S3、S4、S5、Note3、Note4都可能存在同樣的問題。Verizon、Sprint兩家運營商目前都沒有做出回應(yīng)。

    一名SwiftKey發(fā)言人表示:“我們已經(jīng)讀過關(guān)于三星手機鍵盤的安全報告,我們可以保證Google Play和Apple Store上的SwiftKey鍵盤應(yīng)用是沒有這些問題的。我們非常重視類似的安全問題,并已經(jīng)在深入調(diào)查這個問題了!

    Welton表示這些手機的用戶現(xiàn)在的處境比較尷尬,因為系統(tǒng)鍵盤不能卸載,而且即便使用別的鍵盤作為默認(rèn)鍵盤,這個漏洞同樣可以被利用。在更新補丁發(fā)布前,三星手機用戶應(yīng)該在接入網(wǎng)絡(luò)時詢問運營商是否已有針對該漏洞的補丁。

    截止本文發(fā)表時三星還未就此作出評論。一個對三星還算挽尊的消息是,在利用該漏洞進入用戶的手機之前,黑客必須想辦法與該三星手機共處同一個無線網(wǎng)絡(luò)中,雖然對于有經(jīng)驗的黑客來說在同一個WiFi中找出Galaxy S6手機應(yīng)該是小菜一碟。如果遠(yuǎn)程突破的話,就需要黑掉DNS或者路由器才行。

(恒)


掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息